セキュリティのデザイン:「人」から始まる多層防御
熱海 徹@SOMPO CYBER SECURITY | 2022年8月15日
皆さん、こんにちは
SOMPO CYBER SECURITYでフェローを務める熱海(あつみ)です。
今回は、前職NHKで行っていたセキュリティ対策を思い出し、セキュリティ製品を多層するだけでなく、組織、体制面を含めた「人」から始まる多層防御についてお話ししたいと思います。
はじめに
セキュリティ対策は、単に製品を導入するだけでなく、実際に日々の運用が回らないとどんな製品も効力を発揮しません。また、単一のセキュリティ製品の運用を突き詰めるだけではセキュリティレベルの向上も望めません。何故かと言うと、セキュリティ対策の結果、業務の利便性が著しく低下して悪影響が出てしまっては本末転倒だからです。つまり製品単体ではなく、システムやネットワーク全体を見渡したセキュリティリスクの把握と対策が求められているという事になります。
また実効性のあるセキュリティ対策を実現するには、システム面での対策と同時に、日々の運用を着実に行い、事業に影響を及ぼしそうなセキュリティインシデントに迅速に対応できるための「組織・体制面」での対策を同時に行う事が必要と思われます。
それが、SOCだけではなくCSIRTの存在と言っても良いでしょう。
セキュリティ製品の対策で100%防げない意味
サイバー攻撃の兆候を検知する仕組みを導入し、実際に検知できていたにもかかわらず、その後の対応を定義していなかったため、適切な対応が行われず大規模な被害につながった事例が多くあります。
近年の攻撃はセキュリティ製品やソフトウェアなど技術的な対策だけで100%防ぐことは不可能と言われる理由がここにあります。
皆さんは製品の能力だけを考えるかもしれませんが、能力の問題だけでなく、検知したあとにどれだけ適切に対処できるかが重要なのです。
そのためには、運用や組織体制も含め、全社一体での取組みが必要という事になります。
全体を見渡し、セキュリティリスクの把握していくことで、より強固な対策になり多層防御が実現できるのです。
まずは「可視化」し課題やリスクを洗い出すことが重要
では、技術、運用、組織体制を含めたトータルなセキュリティ対策を実現するためには、どこから手を付ければいいのでしょうか。
実際に行ってきたことですが、自社のシステムやネットワークの現状を可視化・把握することから始めました。
現状を把握することで、実効性のある対策を立てることが出来ると思ったからです。具体的には、ネットワーク構成を基に、攻撃がどこから入ってきて、どのルートを辿って侵害範囲が拡大し、最終的にどのように情報が盗み出されるか、その一連の行動を洗い出してみました。
重要な情報資産について経営層も含め決めておくことも行いました。攻撃シナリオを考え最も攻撃の標的にされるシステムの脆弱な部分はどこに潜んでいるかを洗い出すことは困難でしたが、色んな部署を巻き込んで行う意義はあると思いました。
実際にリスク調査を行っていくと、今すぐ対策を打つべきものから、さほど緊急度が高くないものまで、さまざまなレベルのものが見えてきます。
どうしてもすぐに着手できないものも把握しながら緊急度や難易度を考え優先順位を付け対策に着手しました。
一見膨大な時間がかかると思われますが、メリハリの利いた対策が実現できたことを覚えています。
「人」から始まる多層防御
サイバー攻撃はどの会社にも起こりうる脅威であり、標的にされると逃れることはもはや不可能とも言われています。現状を踏まえると、サイバー攻撃を受けることを前提に、できるだけ被害を少なくし最悪の事態を免れるための防御体制が求められます。
そこで普段から行っているシステムの脆弱性への素早い対応が求められるわけで、サイバー攻撃の対策の基本は「攻撃を受けないための守り」をしっかり行う事です。
そこで実施したいのが、「防御の多層化」です。「防御の多層化」は、仮に一つを破られても次の段階で防御できることです。「防御の多層化」は「人」から始まると考えることが大切と思いました。
セキュリティ対策に完璧はなく、侵害すべてを回避する術はないと思っています。そのため、サイバーインシデントの対策や方針を練り、定期的なシミュレーション演習を通じて計画を検証し続けることが必要です。つまり「人」が「攻撃を受けないための守り」について強く意識して欲しいという事です。私はこの考え方もセキュリティバイデザインではないかと思うのです。
このサイバーインシデントの対策や方針策定では、会社全体を巻き込むことが非常に大事です。ITやセキュリティの専門家が対策に力を入れても、社員が十分にセキュリティの重要性を認識していなければ努力が無駄になりかねません。サイバーセキュリティの最前線にいるのは、実はこの社員一人一人です。各人が使っているパソコンが最初の入口と思うことが自然なのです。その社員が油断することなく、用心深く侵害を速やかに通報すれば、大抵の被害は軽減できるでしょう。この考えが、「人」から始まる多層防御になるわけです。
サイバー攻撃訓練で被害を最小限に
地震や火事などの自然災害では、日頃からの防災意識と防災訓練によって被害の程度を左右しています。サイバー攻撃についても同様ではないでしょうか。
大切なのが「万一」を想定した訓練です。サイバー攻撃に関しては、「偽のメールをどのくらいクリックしてしまうものなのか」「マルウェアが社内システムに侵入したとわかったらどうするか」など、実際の攻撃を想定した対応訓練を行いたいものです。
例えば、標的型攻撃メールへの対応訓練では、疑似的な標的型メールを従業員に送り、各自がどのように対応したかを分析します。
体験そのものが従業員への啓発となり、セキュリティ意識の向上が図れます。また、管理者側は結果の分析をもとに、より必要性の高い施策を検討することができるのです。
僕が拘った訓練は、セキュリティインシデントが起きた際にセキュリティ対策を担うCSIRTの動きを演習するトレーニングでした。その狙いは組織間の情報共有と社内外に連絡などを実践的に体感するもので、訓練後の振り返りで問題点が確認できるからです。
いずれにしても、平時の時に何をしておくかの備えが大切ですので、社員だけの訓練だけではなく、経営層も含めた総合訓練が成果を発揮すると思います。
経営者の積極的な関与が不可欠
このように、犯罪性を高めているサイバー攻撃は、ビジネスを直撃し、経営危機を招く恐れがあります。明日、自分の会社がサイバー攻撃を受けたらどうするか。原因究明のためネットワークを停止する決断、情報収集と対策の決定、取引先への説明など経営者が決断し指示することがたくさんあり経営者の関与が不可欠になることを重要課題として捉えるべきです。「サイバーセキュリティはITだから、システム担当者の仕事。任せている」というわけにはいかないのです。サイバーセキュリティの領域は膨大で、リスクの種類も数多くあります。その中で、自社にとって絶対に見過ごすことができない重要分野を選び出すことが大切なポイントとなります。それによって脅威の対象を絞り込み、バランスを取ってアプローチすることが可能になります。
ここ数年、大規模なサイバー攻撃がたびたび発生していますが、その被害の種類はさまざまで、データの窃取や妨害工作、あるいは風評被害を受けるなどといった事例が挙げられます。それらを分類し、もしそのような被害を受けたとき、自社にどのような影響を及ぼすのかを考えておくことも必要で、経営層に関わる内容を丁寧に説明しておくことが大切です。そのような準備をすることで、リスク低減を考える上で有効になるからです。
まとめ:サイバー攻撃から会社を守る
情報漏えいを起こして責任者が謝罪会見となると、顧客や取引先からの信用を失い、賠償など金銭的にも大きなダメージを受けるのは間違いありません。
外部から侵入して被害を与えるサイバー攻撃は、犯罪性も高く変化しています。攻撃を防御する情報セキュリティ対策は、すべての企業・団体にとって取り組むべき経営課題になっています。セキュリティ対策を考える場合、製品のみの多層防御ではなく。あらゆる「人」が関係した多層防御で取組まないといけないことを理解して欲しいと思います。
大切な職場が足元をすくわれないよう、必要な対策を進めていきたいものです。
最後に、SOMPO CYBER SECURITYでは、リスクアセスメントや体制整備のコンサルティング、セキュリティ研修やサイバー攻撃演習のサービスもご提供しております。
当社のサイバーセキュリティサービスをぜひご検討ください。
熱海 徹 セキュリティのデザイン過去記事一覧
熱海 徹 プロフィール
上席フェロー
- 1978年4月 日本放送協会入局 システム開発、スタジオ整備、スポーツ番組に従事
- 2013年6月 本部・情報システム局にてサイバーセキュリティ対策グループ統括
- 2016年6月 内閣府 SIP推進委員、セキュリティ人材育成WS委員
- 2016年7月 一般社団法人ICT-ISAC-JAPAN事務局次長
- 世界的スポーツイベントに向けて放送業界セキュリティ対策に従事
- サイバーセキュリティ対策推進や経営層に向けたセキュリティ対応策について数多くのセミナー・イベントに登壇
- 2018年9月 SOMPOリスクマネジメント株式会社に入社
- サイバーセキュリティ事業のサービスに関する研究開発、技術評価、サービス企画開発等の統括、セミナー・イベントに登壇
- 2019年7月 経済産業省 産業サイバーセキュリティ研究会 有識者委員